Las botnets (redes de bots) son oscuros ejércitos de dispositivos controlados por actores maliciosos y vinculados a todo lo que está mal en internet. Las botnets han estado implicadas en ataques distribuidos de denegación de servicio (DDoS), campañas masivas de envíos de correo no deseado, fraudes de clics y fraudes bancarios, por nombrar solo algunas de las opciones más desagradables del delito cibernético. Claramente, alguien, en alguna parte, está haciendo una fortuna como cerebro de este tipo de actividad criminal.

¿Cuánto dinero generan las botnets y cómo es el modelo de negocio que respalda este tipo de actividad?

Hoy sabemos la respuesta gracias al trabajo del investigador de la Universidad de Twente (Países Bajos) C.G.J. Putman y un par de comañeros. "No es ninguna sorpresa que el motivo principal para usar una botnet sea el beneficio económico", afirma su investigación, que ha analizado los costes y las fuentes de ingresos de los ataques controlados por estos ejércitos de disopositivos.

Básicamente, una botnet es una red de ordenadores, smartphones o cualquier otro dispositivo inteligente conectado a internet, que puede ser controlada en remoto por un atacante no autorizado. La red se crea al infectar cada dispositivo con malware que se comunica con el controlador y el resto de dispositivos de la red a través de protocolos estándar de internet. El controlador puede manipular los dispositivos dentro de la red zombi de varias formas indignantes.

Crear una botnet es bastante caro. Primero hay que hacer I+D para encontrar lagunas en los sistemas operativos de las que se puedan aprovechar. Luego toca escribir el código capaz de explotar estas lagunas para hacerse con el control del aparato.

Esta es una tarea altamente especializada. Putnam y su equipo sugieren que diseñar y ejecutar una botnet capaz de atacar la infraestructura de internet a escala nacional o internacional requiere un conjunto importante de expertos, incluidos analistas de vulnerabilidades, explotadores, probadores y administradores. Para intentar configurar una botnet para que sea capaz de atacar a EE. UU., probablemente harían falta muchos cientos de expertos que tardarían alrededor de dos años para planificar y ejecutar este tipo de sistema.

Una vez que el malware ha sido desarrollado, debe expandirse por la red. Curiosamente, muchos de los servicios requeridos se pueden adquirir fácilmente online. Por ejemplo, los potenciales maestros de las botnets pueden usar un servicio de pago por instalación para configurar la red. Estos se pueden comprar en la dark web por entre dos y diez céntimos de euro por dispositivo infectado.

Es probable que este servicio se ejecute mediante otras botnets que ya existen. Eso podría explicar qué cuando un ordenador se infecta con malware generalmente tarda muy poco en contraer otra infección informática distinta.

Algunos operadores de alojamiento web también ofrecen un servicio "a prueba de balas", que básicamente consiste en almacenar datos de clientes sin hacer preguntas, lo que les da mucha libertad de acción. Eso sin duda sería algo muy útil para los posibles maestros de las botnets.

Luego está el coste de mantener la red una vez que se ha establecido. El malware se eliminará de los dispositivos a cierta velocidad, tal vez porque han puesto un parche al sistema operativo o han instalado un programa antimalware para combatirlo. Pero otros aparatos menos sofisticados, como los aparatos de IoT, deben reiniciarse para poder deshacerse del malware.

Así que el maestro de las botnets debe combatir estas bajas constantes consiguiendo nuevos soldados a un ritmo similar. En el caso de dispositivos simples, este proceso podría ser tan fácil como verificar las direcciones IP y volver a infectar las que han dejado de responder. Pero las cosas se complican en aparatos con parches de software, ya que el propio malware debería actualizarse para sortear la actualización de seguridad.

Esto puede llegar a ser muy costoso, Putman y su equipo explican: "los costes de reinfección se han estimado en alrededor de 0,0792 euros por dispositivo".

Con toda esta información, los investigadores han estimado cuánto cuesta crear una botnet a escala nacional o internacional. Para una botnet compuesta por 10 millones de dispositivos, Putnam y su equipo estiman un coste alrededor de alrededor de 13 millones de euros. Aunque está claro que este precio podría ser significativamente menor para ejércitos de aparatos zombi más pequeños.

Puede parecer una inversión enorme, pero se vuelve insignificante cuando se compara con las recompensas que se ofrecen. Putman y su equipo han estudiado cuatro modelos de negocios diferentes para ver cuántos ingresos podría generar una botnet. Estos son ataques distribuidos de denegación de servicio, publicidad spam, fraude bancario y fraude de clics.

El equipo dice que los DDoS que usan una red de 30.000 bots pueden generar alrededor de 22.000 euros al mes. La publicidad spam con 10.000 bots genera cerca de 250.000 de euros al mes, y el fraude bancario con 30.000 bots puede ofrecer más de 15 millones de euros mensuales. Pero lo más rentable es el fraude de clics, que genera más de 16 millones de euros al mes en ganancias.

El creador de una botnet puede realizar esta actividad directamente o dejar que otras personas controlen la red; luego estas personas se llevan la mayor parte de las ganancias (y presumiblemente el riesgo).

Se trata de unas cifras astronómicas. No cabe duda de que las botnets son un negocio muy rentable para aquellos que llegan a tener éxito. Pero también hay grandes riesgos. Quizás el más obvio sea el de ser atrapado y procesado. Gran parte, pero no toda, de la actividad descrita aquí es ilegal en muchas partes del mundo.

Por otro lado, Putman y su equipo hacen referencia al menos a un trabajo que sugiere que los gobiernos son uno de los principales clientes de este tipo de redes. Por lo tanto, acabar con las botnets no siempre es lo mejor para un país.

También hay otro problema. Cuando las botnets funcionan bien, generan grandes cantidades de dinero. Pero los investigadores dicen que hay indicios de que ciertos tipos de actividad cuestan más de lo que se puede compensar con los ingresos. Los ataques DDoS son los menos rentables, y los costes de mantenimiento de una botnet a veces pueden exceder los ingresos que esto genera.

Así que los creadores de botnets no lo tienen todo se su parte. Ejecutar este tipo de red de malware no puede comprar la felicidad, pero sí que puede pagar por un tipo de sufrimiento aceptable por la mayoría.

Ref: arxiv.org/abs/1804.10848 : Business Model of a Botnet